languageRU      languageEN      internationalInternational        phoneZadzwoń do nas: 22 276 61 80

Jesteś tutaj:Start/Baza wiedzy/Zmiany w prawie/Wszystko o RODO. Część 2. – podstawy prawne ochrony danych osobowych
piątek, 13 listopad 2020 13:37

Wszystko o RODO. Część 2. – podstawy prawne ochrony danych osobowych

photo created by rawpixel.com - www.freepik.com photo created by rawpixel.com - www.freepik.com

W cyklu o RODO przedstawimy najważniejsze zapisy, które dotyczą ochrony danych. W drugiej odsłonie przyglądamy się prawu, które je reguluje na poziomie państwa i wspólnoty UE.

W wielu aspektach życia codziennego gromadzone są i stosowane informacje dotyczące osób fizycznych – zwane „danymi osobowymi”. Osoba udziela danych osobowych, gdy przykładowo składa wniosek o kartę biblioteczną, zapisuje się na siłownię, otwiera rachunek bankowy itd. Dane osobowe mogą być pobierane bezpośrednio od osób lub z istniejącej bazy danych. Dane te mogą być następnie stosowane do innych celów i/lub mogą być wymieniane z innymi stronami. Danymi osobowymi mogą być dowolne dane identyfikujące osobę, jak np. jej imię i nazwisko, numer telefonu czy zdjęcie. Postęp w technologii komputerowej, wraz z rozwojem nowych sieci telekomunikacyjnych, przyczyniają się do swobodniejszego przepływu danych osobowych przez granice.. W efekcie dane dotyczące obywateli jednego państwa członkowskiego są niekiedy przetwarzane w innych państwach członkowskich UE. Z tego względu wystąpiła konieczność wprowadzenia przepisów regulujących transfer danych. W tym kontekście przepisy krajowe dotyczące ochrony danych wymagają dobrych praktyk w zakresie zarządzania danymi ze strony podmiotów przetwarzających dane – zwanych „administratorami danych”. Przepisy obejmują obowiązek przetwarzania danych w sposób uczciwy i bezpieczny oraz korzystania z danych do jasno sprecyzowanych i uzasadnionych celów. Ponadto przepisy krajowe zapewniają osobom fizycznym szereg praw, jak np.: prawo do informacji o czasie i przyczynie przetwarzania danych osobowych, prawo dostępu do danych oraz – w razie konieczności – prawo do zmiany lub usunięcia danych.

Przepisy obejmują obowiązek przetwarzania danych w sposób uczciwy i bezpieczny oraz korzystania z danych do jasno sprecyzowanych i uzasadnionych celów. Ponadto przepisy krajowe zapewniają osobom fizycznym szereg praw, jak np.: prawo do informacji o czasie i przyczynie przetwarzania danych osobowych, prawo dostępu do danych oraz – w razie konieczności – prawo do zmiany lub usunięcia danych

Niektóre państwa członkowskie nie mają przepisów regulujących ochronę danych. Z tego względu wystąpiła konieczność działania na szczeblu europejskim, które przybrało formę dyrektyw wewnątrzeuropejskich (WE).

Ochrona danych osobowych w Ustawie Zasadniczej oraz w ustawach i w rozporządzeniach krajowych

Zagadnienia dotyczące ochrony danych osobowych zostały w prawie polskim uregulowane po raz pierwszy w roku 1997, w art. 51 Konstytucji Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. oraz – w sposób kompleksowy – w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Oprócz podstawowej ustawy o ochronie danych osobowych, w polskim porządku prawnym funkcjonują ponadto rozporządzenia (akty wykonawcze do ww. ustawy), z których najważniejsze z perspektywy przedsiębiorcy przetwarzającego dane osobowe to rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych oraz rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji [1].

Związane z ochroną danych osobowych unormowania zawarte są w Konstytucji RP w art. 47, który mówi, że „Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym”. Art. 51, ust.1 „Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawnienia informacji dotyczących jego osoby (ust.2). Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. Każdy obywatel ma prawo dostępu do dotyczących go urzędowych dokumentów zbiorów danych. Ograniczenie tego prawa może określić ustawa. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa [2].

Istotnym dla Polski wydarzeniem było wydanie 29 sierpnia 1997 roku Ustawy o ochronie danych osobowych. Były to uregulowania zupełnie nieznane w naszym systemie prawnym. Zderzenie z czymś nowym i dosyć skomplikowanym spowodowało, że do dzisiaj analizowanie tej materii sprawia prawnikom wiele kłopotów. Obecnie obowiązuje Ustawa z dnia 22 stycznia 2004 r. o zmianie ustawy o ochronie danych osobowych oraz ustawy o wynagrodzeniu osób zajmujących kierownicze stanowiska państwowe.

Następnie dnia 27 kwietnia 2016 roku zostało przyjęte rozporządzenie RODO, które weszło w życie 25 maja 2018 roku, zastępując tym samym ustawę z 1997 roku. Rozporządzenie znowelizowano dwukrotnie, w tym ostatnia zmiana weszła w życie w 2019 roku [3].

Dyrektywy unijne dotyczące ochrony danych osobowych

Jednym z pierwszych a zarazem podstawowych aktów prawnych stających w obronie praw i wolności człowieka jest Europejska Konwencja o Ochronie Praw Człowieka i Podstawowych Wolności (Europejska Konwencja Praw Człowieka) z 1950 roku. Przedstawia ona oraz reguluje stosunek państwa do ochrony praw, jednostki prawa, jakie tej jednostce przysługują jak i środki, które służą dochodzenia tych praw. 28 stycznia 1981 roku w Strasburgu został wydany przez Radę Europy dokument: Konwencja nr 108 o ochronie osób fizycznych w związku z automatycznym przetwarzaniem danych osobowych. To jeden z najważniejszych aktów prawa międzynarodowego i głównym z dziedziny ochrony danych osobowych. Uważa się je za najważniejsze dokumenty prawa międzynarodowego. 23 września 1980 roku zostały wydane wytyczne w sprawie Ochrony Prywatności i Przekazywania Danych Osobowych Pomiędzy Krajami. Zalicza się je obok wspomnianej wyżej Konwencji nr 108 Rady Europy do najważniejszych dokumentów prawa międzynarodowego ostatniego czasu [4].

Na poziomie europejskim problematyka ochrony danych osobowych uregulowana została również w Dyrektywie 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Obowiązywała ona do dnia 25 maja 2018 r., z którym to dniem jej postanowienia przestały obowiązywać (zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady nr 2016/679 z dnia 27 kwietnia 2016 r.) i zostały zastąpione przez zmodernizowaną regulację, dostosowaną do współczesnych realiów przetwarzania danych. Od wejścia w życie Traktatu Lizbońskiego, zasada ochrony danych osobowych każdej osoby fizycznej zawarta jest także w regulacji o fundamentalnym znaczeniu dla Unii, jakim jest Traktat o Funkcjonowaniu Unii Europejskiej - jego art. 16 stanowi, że „Każda osoba ma prawo do ochrony danych osobowych jej dotyczących” [5].

 Zasady przekazywania danych osobowych poza granice Polski różnią się w zależności od tego, czy państwo odbiorcy danych należy do Europejskiego Obszaru Gospodarczego, czy też nie należy do tej grupy. Przekazywanie danych osobowych do państw Europejskiego Obszaru Gospodarczego Do Europejskiego Obszaru Gospodarczego należy obecnie 31 państw, są to państwa Unii Europejskiej oraz Islandia, Norwegia i Liechtenstein. W ramach Europejskiego Obszaru Gospodarczego obowiązuje zasada swobodnego przepływu danych osobowych, dlatego też przekazywanie danych osobowych do jego państw odbywa się na takich samych zasadach jak przekazywanie danych podmiotom mającym siedzibę na terenie Polski – wiąże się z koniecznością stosowania wymogów polskiej ustawy o ochronie danych osobowych. Przekazywanie danych do państwa trzeciego – nienależącego do Europejskiego Obszaru Gospodarczego Przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych.

Odpowiedni poziom ochrony danych osobowych jest oceniany z uwzględnieniem wszystkich okoliczności dotyczących operacji przekazania danych, w szczególności biorąc pod uwagę charakter danych, cel i czas trwania proponowanych operacji przetwarzania danych, kraj pochodzenia i kraj ostatecznego przeznaczenia danych oraz przepisy prawa obowiązujące w danym państwie trzecim oraz stosowane w tym państwie środki bezpieczeństwa i zasady zawodowe [6].

Państwo trzecie nie musi dawać takich gwarancji ochrony, jeśli spełnione są przesłanki przewidziane w ustawie, np. osoba, której dane dotyczą, udzieliła na to zgody na piśmie lub uzyskano zgodę Generalnego Inspektora Danych Osobowych (zgoda Generalnego Inspektora nie jest wymagana, jeżeli administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą poprzez – standardowe klauzule umowne ochrony danych osobowych, zatwierdzone przez Komisję Europejską lub przez reguły lub polityki ochrony danych osobowych zatwierdzone przez Generalnego Inspektora Danych Osobowych) [7].

W celu wyeliminowania przeszkód dla swobodnego przepływu danych bez równoczesnego zmniejszania ochrony danych osobowych opracowano dyrektywę 95/46/WE (dyrektywa o ochronie danych) harmonizującą przepisy krajowe w tym zakresie. W rezultacie dane osobowe wszystkich obywateli mają zapewnioną identyczną ochronę w całej Unii. Do dnia 24 października 1998 r. 15 Państw Członkowskich UE musiało dostosować przepisy krajowe do przepisów dyrektywy[8].

Dyrektywa jest europejskim aktem prawnym adresowanym do państw członkowskich. Po jej przyjęciu na szczeblu europejskim każde państwo członkowskie musi zapewnić jej skuteczne stosowanie w swoim systemie prawnym. Dyrektywa określa wynik końcowy. Decyzja dotycząca formy i metod jej zastosowania leży w gestii poszczególnych państw członkowskich. W zasadzie dyrektywa staje się skuteczna za pośrednictwem krajowych środków wykonawczych (przepisy krajowe). Istnieje jednak możliwość, że nawet, jeśli państwo członkowskie jej nie wdrożyło, niektóre jej postanowienia mogą mieć bezpośredni skutek. Oznacza to, że jeżeli dyrektywa przyznaje bezpośrednie prawa osobom fizycznym, osoby te mogą w sądzie powołać się na taką dyrektywę bez konieczności czekania na wdrożenie jej przez przepisy krajowe. Ponadto, jeżeli osoba fizyczna ma poczucie, że poniosła szkody na skutek niewdrożenia dyrektywy przez władze krajowe w prawidłowy sposób, może w takiej sytuacji być uprawniona do dochodzenia odszkodowania. Odszkodowania te można uzyskać wyłącznie w sądach krajowych.

Dyrektywa o ochronie danych ma zastosowanie do „wszelkich operacji lub zestawu operacji dokonywanych na danych osobowych”, zwanych „przetwarzaniem danych”. Operacje obejmują gromadzenie danych osobowych, ich przechowywanie, ujawnianie itd. Dyrektywa dotyczy danych przetwarzanych automatycznie (np.: komputerowa baza danych konsumentów) oraz danych będących częścią lub mających być częścią nieautomatycznych „zbiorów danych”, w których są dostępne w oparciu o określone kryteria (przykładowo tradycyjne akta papierowe takie jak kartoteki z informacjami o klientach uporządkowane w kolejności alfabetycznej według nazwisk). Dyrektywa o ochronie danych nie dotyczy danych przetwarzanych wyłącznie dla celów osobistych lub dla celów gospodarstwa domowego (np.: elektroniczny pamiętnik lub plik z informacjami o rodzinie i przyjaciołach). Ponadto nie dotyczy ona takich dziedzin jak bezpieczeństwo publiczne, obronność lub egzekwowanie prawa karnego, które nie wchodzą w zakres kompetencji WE oraz pozostają w gestii państw członkowskich. W tych dziedzinach ochronę obywateli zapewniają na ogół przepisy krajowe. Ponadto istnieje odrębna dyrektywa – dyrektywa 2002/58/WE, która w szczególności zajmuje się ochroną prywatności danych w sektorze łączności elektronicznej. Dyrektywa zawiera postanowienia dotyczące bezpieczeństwa sieci i usług, poufności komunikacji, dostępu do informacji przechowywanych w urządzeniach terminala, przetwarzania danych o ruchu i danych lokalizacji, identyfikacji rozmów przychodzących, publicznych spisów abonamentów oraz niezamówionych komunikatów handlowych. Dyrektywa stanowi, że państwa członkowskie muszą gwarantować poufność komunikacji poprzez przepisy krajowe. Oznacza to, że każde słuchanie, nagrywanie, przechowywanie lub innego rodzaju przejęcia nadzoru nad komunikatem przez osoby nieuprawnione jest niezgodne z prawem. W przypadku, gdy oferowane jest wyświetlanie identyfikacji rozmów przychodzących użytkownik musi mieć możliwość nieprzystępowania do usługi lub zablokowania wyświetlania swojego numeru podczas wykonywania rozmów wychodzących. Z kolei użytkownicy korzystający z tej usługi muszą mieć możliwość odrzucenia rozmów przychodzących od osób, które mają zablokowaną identyfikację rozmów wychodzących. Ponadto dyrektywa określa, że w przypadku istnienia spisów abonentów wydawanych w formie druku lub w formie elektronicznej osoby fizyczne mają prawo być pomijane – z zasady nieodpłatnie – w takich spisach [9].

[1] P.Jatkiewicz, Ochrona danych osobowych Teoria i Praktyka,  Polskie Towarzystwo Informatyczne, Warszawa 2015.

[2] Konstytucja RP (Dz.U. z 1997 r. nr 78, poz. 483.), art. 47, art.51.

[3] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dn. 27 kwietnia 2016r.

[4] P.Fajgielski, Polityka w zakresie praw człowieka na przykładzie ochrony danych osobowych (Wrocław, 18 – 19 czerwca 1999 r.),[w:] Państwo i Prawo z 1999 r. nr 9.

[5] A.Dmochowska, op-cit.

[6] M.Krzysztofek, Ochrona danych osobowych w Unii Europejskiej. Transfer danych osobowych z Unii Europejskiej w obecnym i nadchodzącym stanie prawnym [w:] Ochrona danych osobowych w Unii Europejskiej, Wolters Kluwer, Warszawa 2014.

[7] Ibidem.

[8] M.Krzysztofek, op-cit.

[9] M.Jagielski, Prawo do ochrony danych osobowych. Standardy europejskie, Wolters Kluwers, 2010, s.190-198.

 

Nasze publikacje

rbiuletyn

 

lipiec-wrzesień 2023

RB Biuletyn numer 44

pobierz magazyn

Nasze publikacje

rb restrukturyzacje             russellbedford             rbdombrokersi